Pagina 1 van 6
Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:27
door on4bam
Hi,
Ik kreeg zopas spam (phishing attempt) op het e-mailadres dat alleen op UB gebruikt wordt. Aangezien ik voor alle contacten een uniek e-mailadres aanmaak is het steeds duidelijk waar het adres gevonden werd:
Code: Selecteer alles
Return-path: <[email protected]>
Envelope-to: ************************
Delivery-date: Mon, 01 Oct 2012 08:10:56 -0400
Received: from mail.medeakultur.cz ([90.182.241.210]:29359 helo=mail.medeakultur.com)
by bullseye.d9hosting.com with esmtp (Exim 4.77)
(envelope-from <[email protected]>)
id 1TIeps-0014i5-Lh
for *********************; Mon, 01 Oct 2012 08:10:56 -0400
Received: from User ([109.75.164.2]) by mail.medeakultur.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 1 Oct 2012 12:43:59 +0200
From: "ING Belgie"<[email protected]>
Subject: Bevestiging van internetbankieren profiel
Date: Mon, 1 Oct 2012 11:43:59 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Message-ID: <[email protected]>
X-OriginalArrivalTime: 01 Oct 2012 10:43:59.0712 (UTC) FILETIME=[AA3B2600:01CD9FC1]
X-EsetResult: clean, is OK
X-EsetId: 667C0A23F5EE7E30353E55
De text (in mailwasher pro):
Code: Selecteer alles
[Image ignored]ING Belgiл neemt uw veiligheid op het internet serieus.
Meer informatie is beschikbaar op www.ing.be [links to westernvalleyfp.com/sites/default/files/ingbelLogin.htm] (Internet bankieren / Veiligheid)
[Image ignored]
[Image ignored][Image ignored]
Geachte klant,
We hebben met succes de verbetering van onze online bankdiensten voor het jaar 2012.
Door deze recente upgrade moedigen wij onze gewaardeerde klanten hun online diensten update.
account informatie in staat te stellen ons de sterkste mogelijke bescherming voor hun online transacties.
Wij zijn dankbaar voor al onze klanten voor hun medewerking.
Voor het upgraden van je internet bankieren profiel, gebruik dan de onderstaande link om in te loggen op de beveiligde site van financiele diensten
https://www.ing.be/en/Secure/Pages/Login.aspx?URL=/eb/HB_RequestOLDSESSION=1 [links to westernvalleyfp.com/sites/default/files/ingbelLogin.htm]
[Image ignored] [links to westernvalleyfp.com/sites/default/files/ingbelLogin.htm]
Wij danken u voor uw vertrouwen in ING.
Met de meeste hoogachting,
ING Belgium [Image ignored]
[Image ignored]
Afgezien van het feit dat ik geen klant ben bij ING en dat de mail naar een adres gestuurd werd dat niet het adres is dat ik zou gebruikt hebben mocht ik wel klant zijn (
rare zin) valt het natuurlijk op dat de links niet naar de ING site verwijzen. Ik denk dan een bank ook niet gaat mailen met Outlook Express
Blijft wel de vraag: wie kan aan het e-mailbestand van Userbase want dat is de unieke bron waar mijn adres gevonden werd
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:39
door ubremoved_539
on4bam schreef:Blijft wel de vraag: wie kan aan het e-mailbestand van Userbase want dat is de unieke bron waar mijn adres gevonden werd
Of welk virus/trojan steelt de adressen van je PC ?
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:40
door meon
Geen idee, want zo veel wordt email niet gebruikt op Userbase...
We zitten qua forumsoftware op versie N-1 , maar mogelijk ergens iet spyware-achtigs dat bovenop de mailclient is terechtgekomen... (kan zowel hier als aan jouw kant zijn)...
Ik weet het dus zo meteen niet
Gebruikerstoegang tot de database rechtstreeks is behoorlijk beperkt, dus 't is niet zo dat deze gegevens zomaar op straat horen te liggen...
Mogelijk via Tapatalk iets? Of een plugin? (ik denk maar luidop)
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:42
door VOiD
'k heb die mail ook ontvangen...
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:44
door thepretorian
Raar maar waar, ik heb net dezelfde email binnen op mijn hotmail... Enkel de links naar die server zijn anders. Maar inhoud in glad hetzelfde.
Bij mij is de HTML code wel mislukt in de email.
Code: Selecteer alles
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id: <[email protected]>
Date: Mon, 1 Oct 2012 05:12:20 -0700 (PDT)
Return-Path: u16025754.onlinehome-server.com
X-OriginalArrivalTime: 01 Oct 2012 12:19:30.0555 (UTC) FILETIME=[021464B0:01CD9FCF]
<html><head>
<!-- // --><script language='javascript' type='text/javascript'>
<!--
req_2_1349083583=new Image();
req_2_1349083583.src='/__ssobj/ard.png?5787420104405642016_5-2-'+(16877*79841+12191);
//-->
<!-- // --></script>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /><title>ING Card</title></head><body leftmargin='0' rightmargin='0' topmargin='0' bottommargin='0' bgcolor='#FFFFFF'><div align="center" width="600">
<div style="font-size: 9px; padding-bottom: 10px; color: #666666; line-height: 18px;
padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-serif" align="center">
<br />
<img height="20" src="https://promo.ing.be/images/webshield.gif" width="16">
ING België neemt uw veiligheid op het internet serieus.<br />
Meer informatie is beschikbaar op <a href="http://gehacktewebsite/wp-content/themes/ingbelLogin.htm" target="_blank"><font color="#ff6600">
http://www.ing.be</font></a> (Internet bankieren / Veiligheid)
<br />
<br />
</div>
<table cellpadding="0" cellspacing="0" border="0" width="1%">
<tr>
<td colspan="3">
<img src="https://promo.ing.be/INGCard/images/mails/header.jpg" style="display: block;" />
</td>
</tr>
<tr>
<td valign="top">
<img src="https://promo.ing.be/INGCard/images/mails/left.jpg" style="display: block;"
width="44" height="410" />
</td>
<td valign="top" style="font-size: 11px; color: #666666; font-family: Verdana, Arial, Helvetica, sans-serif;
width: 477px; background-color: #ffffff; padding-left: 15px; padding-right: 15px;"
align="left">
<img src="https://promo.ing.be/INGCard/images/mails/spacer477.jpg" style="display: block;" />
<br />
Geachte klant,
<br />
<br />
We hebben met succes de verbetering van onze online bankdiensten voor het jaar 2012.<br>
Door deze recente upgrade moedigen wij onze gewaardeerde klanten hun online diensten update.<br>
account informatie in staat te stellen ons de sterkste mogelijke bescherming voor hun online transacties.<br><br>Wij zijn dankbaar voor al onze klanten voor hun medewerking.<br><br>
<br />
<br />
<ul>
Voor het upgraden van je internet bankieren profiel, gebruik dan de onderstaande link om in te loggen op de beveiligde site van financiele diensten</b><br /><br /> <a href="http://gehacktewebsite/wp-content/themes/ingbelLogin.htm">https://www.ing.be/en/Secure/Pages/Login.aspx?URL=/eb/HB_Request&OLDSESSION=1</a>
<br />
<br />
<table cellspacing="0" cellpadding="0" width="350" border="0">
<tr>
<td valign="top" width="50">
<div align="left">
<a href="http://gehacktewebsite/wp-content/themes/ingbelLogin.htm">
<img height="40" src="https://promo.ing.be/ingcard/mailings/Animated_button.gif"
width="40" border="0"></a>
</div>
</td>
</td>
</tr>
</table>
<br />
<br />
Wij danken u voor uw vertrouwen in ING.
<br />
<br />
Met de meeste hoogachting,<br />
ING Belgium
</td>
<td valign="top">
<img src="https://promo.ing.be/INGCard/images/mails/right.jpg" style="display: block;"
width="43" height="410" />
</td>
</tr>
<tr>
<td colspan="3">
<img src="https://promo.ing.be/INGCard/images/mails/bottom.jpg" style="display: block;" />
</td>
</tr>
<tr>
<td colspan="3" style="font-size: 9px; padding-bottom: 10px; color: #666666; line-height: 18px;
padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-serif;">
<a href="https://promo.ing.be/optiext/optiextension.dll?ID=CYFC%2BiJE891Y21H98j3R_XhAc2OpcCexr9m5Kxr5b9qVKb48R" target="_blank"><font color="#ff6600"></font></a>.
</td>
</tr>
</table>
</div>
</body></html>
Code: Selecteer alles
x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensJZ+LA4r+FkBEPfIbKIUkS84EgwrIjfw63R3BUhup0kJPNZF54bcJVb7WGERspM0P/2iGLwjtqtTzagVhmCVigCq9OHKOwygMA47772oqROc=
Authentication-Results: hotmail.com; sender-id=fail (sender IP is 74.208.100.120) [email protected]; dkim=none header.d=promo.ing.be; x-hmca=fail
X-SID-PRA: [email protected]
X-SID-Result: Fail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0z
X-Message-Info: aKlYzGSc+LnZRlzw2K7wODZXEUcKigmE0l49ZSTUF2sVo1ywRnMjYf0bE5ns2LXbiMyvHMYAtg2FJ/6CHbOOcTI+s3VNqMvW/QELuh6YiLhKami3hA8wX4FpykigxtlIsXmdyfEk3nC0Pugtk8VgyA==
Received: from u16025754.onlinehome-server.com ([74.208.100.120]) by COL0-MC1-F34.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Mon, 1 Oct 2012 05:19:30 -0700
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id B68BE2BAD9; Mon, 1 Oct 2012 05:12:20 -0700 (PDT)
To: @hotmail.com
Subject: Bevestiging van internetbankieren profiel
X-PHP-Originating-Script: 10017:mail.php
From: ING Belgie <[email protected]>
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:46
door FlashBlue
Idem hier, spam van ing internetbankieren, naar het unieke mailadres dat ik alleen voor userbase gebruikt heb.
Dus ergens op een of andere manier is precies iemand erin geslaagd om die adressen te gebruiken voor spam.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:49
door thepretorian
Ergens een SQL exploit? Ik kan mij moeilijk voorstellen dat ze elke profiel gaan bekijken en copy paste doen.
Heb in ieder geval dit gemeld aan ING zelf.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:51
door NickG
Ik heb anders niks ontvangen
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:55
door krisken
Yeps, ook ik heb hem gehad. Wist gelukkig meteen dat het spam was : ben geen ING klant.
Helaas heb ik deze direct verwijderd, anders kon ik hier ook even posten.
De link waar TS naar verwijst, is in elk geval dezelfde!
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 14:58
door on4bam
r2504 schreef:on4bam schreef:Blijft wel de vraag: wie kan aan het e-mailbestand van Userbase want dat is de unieke bron waar mijn adres gevonden werd
Of welk virus/trojan steelt de adressen van je PC ?
Dat is met 99.9999% zekerheid uit te sluiten.
BTW, de (echte) link wordt al automagisch geblocked als "Malicious website".
BTW, geen tapatalk in gebruik. Mocht het om "iets" gaan dat hier adressen steelt zou het alvast niet dat van UB zijn maar 1 van de andere (70+) adressen dat meer gebruikt wordt en niet één waarop alleen meldingen van reacties op ontvangen worden.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:02
door elmariachi2920
ik ook niet
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:04
door ubremoved_539
on4bam schreef:Dat is met 99.9999% zekerheid uit te sluiten.
Dan blijft er nog 0.0001% over
Ik vrees dat het inderdaad eerder een bug in phpBB is.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:07
door stefke
Hier dus ook dezelfde mail.. Ook geen klant bij ING
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:19
door krisken
Aangezien er meerdere meldingen zijn denk ik dat een bug in phpBB het meest waarschijnlijke is. Bij malware etc op je eigen pc zou niet iedereen deze mail krijgen bvb...
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:22
door meon
Heb de mail ook gehad... Als ik nu ongeveer wist hoe oud die gegevens waren, dan zou ik in de httpd-logs kunnen gaan spitten (maar da's nu eigenlijk onbegonnen werk).
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:32
door krisken
Aangezien iedereen de mail vandaag heeft gehad...denk ik niet zo oud?
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:41
door VOiD
Mischien is het mogelijk logging te plaatsen op het moment dat er een query uitgevoerd wordt die de e-mail adressen opvraagt ? Ze zullen nog wel eens terugkeren...
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:48
door ubremoved_539
meon schreef:Heb de mail ook gehad... Als ik nu ongeveer wist hoe oud die gegevens waren, dan zou ik in de httpd-logs kunnen gaan spitten (maar da's nu eigenlijk onbegonnen werk).
Misschien eens een grep doen over je HTTP logs met de naam van de SQL table waarin de users zitten ?
Trouwens als de bug in een POST request zit ga je dit nooit vinden want dan heb je die info niet in je logs.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:56
door meon
Code: Selecteer alles
D:\TODO>type access.log | find /i "ub2_phpbb_users"
D:\TODO>
Alvast niets te zien in de access log van de afgelopen 2 dagen...
Subke moet misschien eens onderzoeken of we ModSecurity kunnen toepassen op Apache...
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 15:59
door ubremoved_539
meon schreef:Alvast niets te zien in de access log van de afgelopen 2 dagen...
Het is niet omdat toen de mail verzonden is dat toen ook de exploit is gedaan.
Vermoedelijk ga je dus een heel eind verder moeten zoeken... en misschien ook de underscore eens vervangen door %5F.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 16:16
door driesve
Ik weet niet of het helpt, maar ik heb nog GEEN mail gekregen, ook niet in de SPAM-folder. Ik ben lid sinds 2008 en thepretorian sinds 2009, dus niet alle mailadressen werden gebruikt. Of ik moet nog geduld hebben voordat ik de mail ontvang?
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 16:17
door krisken
Zojuist een tweede spamrun gehad...
Mijn e-mailadres dat ik hier gebruik, heb ik vervangen door
[email protected]
Code: Selecteer alles
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Mon, 01 Oct 2012 15:55:13 +0200
Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
by v01.s01.be.it2go.eu with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.77)
(envelope-from <[email protected]>)
id 1TIgSn-0002rW-5B
for [email protected]; Mon, 01 Oct 2012 15:55:13 +0200
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id 04C4A2A556; Mon, 1 Oct 2012 06:50:51 -0700 (PDT)
To: [email protected]
Subject: Bevestiging van internetbankieren profiel
X-PHP-Originating-Script: 10017:mail.php
From: ING Belgie <[email protected]>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Message-Id: <[email protected]>
Date: Mon, 1 Oct 2012 06:50:51 -0700 (PDT)
Content-Transfer-Encoding: quoted-printable
=0D
<html><head>=0D
<!-- // --><script language=3D'javascript' type=3D'text/javascript'>=0D
<!--=0D
req_2_1349083583=3Dnew Image();=0D
req_2_1349083583.src=3D'/__ssobj/ard.png?5787420104405642016_5-2-'+(16877=
*79841+12191);=0D
//-->=0D
<!-- // --></script>=0D
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Diso-885=
9-1" /><title>ING Card</title></head><body leftmargin=3D'0' rightmargin=3D=
'0' topmargin=3D'0' bottommargin=3D'0' bgcolor=3D'#FFFFFF'><div align=3D"=
center" width=3D"600">=0D
<div style=3D"font-size: 9px; padding-bottom: 10px; color: #666666; l=
ine-height: 18px;=0D
padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-s=
erif" align=3D"center">=0D
=0D
<br />=0D
<img height=3D"20" src=3D"https://promo.ing.be/images/webshield.g=
if" width=3D"16">=0D
ING Belgi=EB neemt uw veiligheid op het internet serieus.<br />=0D
Meer informatie is beschikbaar op <a href=3D"http://hrlcomp.com/w=
p-content/themes/ingbelLogin.htm" target=3D"_blank"><font color=3D"#ff660=
0">=0D
http://www.ing.be</font></a> (Internet bankieren / Veiligheid)=0D
<br />=0D
<br />=0D
</div>=0D
<table cellpadding=3D"0" cellspacing=3D"0" border=3D"0" width=3D"1%">=
=0D
<tr>=0D
<td colspan=3D"3">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/hea=
der.jpg" style=3D"display: block;" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td valign=3D"top">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/lef=
t.jpg" style=3D"display: block;"=0D
width=3D"44" height=3D"410" />=0D
</td>=0D
<td valign=3D"top" style=3D"font-size: 11px; color: #666666; =
font-family: Verdana, Arial, Helvetica, sans-serif;=0D
width: 477px; background-color: #ffffff; padding-left: 15=
px; padding-right: 15px;"=0D
align=3D"left">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/spa=
cer477.jpg" style=3D"display: block;" />=0D
<br />=0D
Geachte klant,=0D
<br />=0D
<br />=0D
=0D
=0D
We hebben met succes de verbetering van onze online bankdiensten voor het=
jaar 2012.<br>=0D
Door deze recente upgrade moedigen wij onze gewaardeerde klanten hun onli=
ne diensten update.<br>=0D
account informatie in staat te stellen ons de sterkste mogelijke bescherm=
ing voor hun online transacties.<br><br>Wij zijn dankbaar voor al onze kl=
anten voor hun medewerking.<br><br>=0D
=0D
<br />=0D
<br />=0D
=0D
<ul>=0D
=0D
=0D
Voor het upgraden van je internet bankieren profiel, gebr=
uik dan de onderstaande link om in te loggen op de beveiligde site van fi=
nanciele diensten</b><br /><br /> <a href=3D"http://hrlcomp.com/wp-conten=
t/themes/ingbelLogin.htm">https://www.ing.be/en/Secure/Pages/Login.aspx?U=
RL=3D/eb/HB_Request&OLDSESSION=3D1</a>=0D
<br />=0D
<br />=0D
<table cellspacing=3D"0" cellpadding=3D"0" width=3D"350" =
border=3D"0">=0D
<tr>=0D
<td valign=3D"top" width=3D"50">=0D
<div align=3D"left">=0D
<a href=3D"http://hrlcomp.com/wp-content/=
themes/ingbelLogin.htm">=0D
<img height=3D"40" src=3D"https://pro=
mo.ing.be/ingcard/mailings/Animated_button.gif"=0D
width=3D"40" border=3D"0"></a>=0D
</div>=0D
</td>=0D
=0D
</td>=0D
</tr>=0D
</table>=0D
<br />=0D
<br />=0D
Wij danken u voor uw vertrouwen in ING.=0D
<br />=0D
<br />=0D
Met de meeste hoogachting,<br />=0D
ING Belgium=0D
</td>=0D
<td valign=3D"top">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/rig=
ht.jpg" style=3D"display: block;"=0D
width=3D"43" height=3D"410" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td colspan=3D"3">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/bot=
tom.jpg" style=3D"display: block;" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td colspan=3D"3" style=3D"font-size: 9px; padding-bottom: 10=
px; color: #666666; line-height: 18px;=0D
padding-top: 10px; font-family: Verdana, Arial, Helvetica=
, sans-serif;">=0D
<a href=3D"https://promo.ing.be/optiext/optiextension.dl=
l?ID=3DCYFC%2BiJE891Y21H98j3R_XhAc2OpcCexr9m5Kxr5b9qVKb48R" target=3D"_bl=
ank"><font color=3D"#ff6600"></font></a>.=0D
=0D
</td>=0D
</tr>=0D
</table>=0D
</div>=0D
=0D
=0D
</body></html>
EDIT
Inmiddels ook mails ontvangen op een ander e-mailadres dat ik een tijdlang gebruikt heb voor Userbase (ongeveer tot anderhalf jaar terug). Kan ook van een totaal ander forum komen waar ik dit mailadres gebruik...
Code: Selecteer alles
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Mon, 01 Oct 2012 16:25:20 +0200
Received: from mail by v01.s01.be.it2go.eu with spam-scanned (Exim 4.77)
(envelope-from <[email protected]>)
id 1TIgvu-0003Jr-Sq
for [email protected]; Mon, 01 Oct 2012 16:25:20 +0200
X-Spam-Checker-Version: SpamAssassin 3.3.2 (2011-06-06) on v01.s01.be.it2go.eu
X-Spam-Level: ****
X-Spam-Status: No, score=4.2 required=5.0 tests=BAYES_20,HTML_MESSAGE,
HTTPS_HTTP_MISMATCH,MIME_HTML_ONLY,RCVD_IN_BRBL_LASTEXT,T_REMOTE_IMAGE
autolearn=no version=3.3.2
Received: from ecoflowmyhome.com ([74.208.100.120] helo=u16025754.onlinehome-server.com)
by v01.s01.be.it2go.eu with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.77)
(envelope-from <[email protected]>)
id 1TIgvu-0003Jo-Ho
for [email protected]; Mon, 01 Oct 2012 16:25:18 +0200
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id A00442F288; Mon, 1 Oct 2012 07:15:50 -0700 (PDT)
To: [email protected]
Subject: Bevestiging van internetbankieren profiel
X-PHP-Originating-Script: 10017:mail.php
From: ING België <[email protected]>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Message-Id: <[email protected]>
Date: Mon, 1 Oct 2012 07:15:50 -0700 (PDT)
Content-Transfer-Encoding: quoted-printable
=0D
<html><head>=0D
<!-- // --><script language=3D'javascript' type=3D'text/javascript'>=0D
<!--=0D
req_2_1349083583=3Dnew Image();=0D
req_2_1349083583.src=3D'/__ssobj/ard.png?5787420104405642016_5-2-'+(16877=
*79841+12191);=0D
//-->=0D
<!-- // --></script>=0D
<meta http-equiv=3D"Content-Type" content=3D"text/html; charset=3Diso-885=
9-1" /><title>ING Card</title></head><body leftmargin=3D'0' rightmargin=3D=
'0' topmargin=3D'0' =0D
=0D
bottommargin=3D'0' bgcolor=3D'#FFFFFF'><div align=3D"center" width=3D"600=
">=0D
<div style=3D"font-size: 9px; padding-bottom: 10px; color: #666666; l=
ine-height: 18px;=0D
padding-top: 10px; font-family: Verdana, Arial, Helvetica, sans-s=
erif" align=3D"center">=0D
=0D
<br />=0D
<img height=3D"20" src=3D"https://promo.ing.be/images/webshield.g=
if" width=3D"16">=0D
ING Belgi=EB neemt uw veiligheid op het internet serieus.<br />=0D
Meer informatie is beschikbaar op <a href=3D"http://hrlcomp.com/w=
p-content/themes/ingbelLogin.htm" target=3D"_blank"><font color=3D"#ff660=
0">=0D
www.ing.be</font></a> (Internet bankieren / Veiligheid)=0D
<br />=0D
<br />=0D
</div>=0D
<table cellpadding=3D"0" cellspacing=3D"0" border=3D"0" width=3D"1%">=
=0D
<tr>=0D
<td colspan=3D"3">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/hea=
der.jpg" style=3D"display: block;" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td valign=3D"top">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/lef=
t.jpg" style=3D"display: block;"=0D
width=3D"44" height=3D"410" />=0D
</td>=0D
<td valign=3D"top" style=3D"font-size: 11px; color: #666666; =
font-family: Verdana, Arial, Helvetica, sans-serif;=0D
width: 477px; background-color: #ffffff; padding-left: 15=
px; padding-right: 15px;"=0D
align=3D"left">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/spa=
cer477.jpg" style=3D"display: block;" />=0D
<br />=0D
Geachte klant,=0D
<br />=0D
<br />=0D
=0D
=0D
We hebben met succes de verbetering van onze online bankdiensten voor het=
jaar 2012.<br>=0D
Door deze recente upgrade moedigen wij onze gewaardeerde klanten hun onli=
ne diensten update.<br>=0D
account informatie in staat te stellen ons de sterkste mogelijke bescherm=
ing voor hun online transacties.<br><br>Wij zijn dankbaar voor al onze kl=
anten voor hun =0D
=0D
medewerking.<br><br>=0D
=0D
<br />=0D
<br />=0D
=0D
<ul>=0D
=0D
=0D
Voor het upgraden van je internet bankieren profiel, gebr=
uik dan de onderstaande link om in te loggen op de beveiligde site van fi=
nanciele =0D
=0D
diensten</b><br /><br /> <a href=3D"http://hrlcomp.com/wp-content/themes/=
ingbelLogin.htm">https://www.ing.be/en/Secure/Pages/Login.aspx?=0D
=0D
URL=3D/eb/HB_Request&OLDSESSION=3D1</a>=0D
<br />=0D
<br />=0D
<table cellspacing=3D"0" cellpadding=3D"0" width=3D"350" =
border=3D"0">=0D
<tr>=0D
<td valign=3D"top" width=3D"50">=0D
<div align=3D"left">=0D
<a href=3D"http://hrlcomp.com/wp-content/=
themes/ingbelLogin.htm">=0D
<img height=3D"40" src=3D"https://pro=
mo.ing.be/ingcard/mailings/Animated_button.gif"=0D
width=3D"40" border=3D"0"></a>=0D
</div>=0D
</td>=0D
=0D
</td>=0D
</tr>=0D
</table>=0D
<br />=0D
<br />=0D
Wij danken u voor uw vertrouwen in ING.=0D
<br />=0D
<br />=0D
Met de meeste hoogachting,<br />=0D
ING Belgium=0D
</td>=0D
<td valign=3D"top">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/rig=
ht.jpg" style=3D"display: block;"=0D
width=3D"43" height=3D"410" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td colspan=3D"3">=0D
<img src=3D"https://promo.ing.be/INGCard/images/mails/bot=
tom.jpg" style=3D"display: block;" />=0D
</td>=0D
</tr>=0D
<tr>=0D
<td colspan=3D"3" style=3D"font-size: 9px; padding-bottom: 10=
px; color: #666666; line-height: 18px;=0D
padding-top: 10px; font-family: Verdana, Arial, Helvetica=
, sans-serif;">=0D
<a href=3D"https://promo.ing.be/optiext/optiextension.dl=
l?ID=3DCYFC%2BiJE891Y21H98j3R_XhAc2OpcCexr9m5Kxr5b9qVKb48R" target=3D"_bl=
ank"><font =0D
=0D
color=3D"#ff6600"></font></a>.=0D
=0D
</td>=0D
</tr>=0D
</table>=0D
</div>=0D
=0D
=0D
</body></html>
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 16:38
door johcla
hier ook de eerste spam ontvangen, ik gebruik het adres ook enkel voor UB.
Voor banken gebruik ik ook een specifiek adres, dus bank-gerelateerde mails op alle andere adressen zijn sowieso spam.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 16:45
door bollewolle
Bij mij stond de mail ook in de spam folder. Gebruik het adres wel voor meedere zaken.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 16:57
door CeeSsss
Heb ook 3 zo'n phishingmails gekregen van ING.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 17:01
door cptKangaroo
Hier zat er ook eentje in de spamfolder (geen uniek adres voor UB). Geen resultaten bij een google search op mijn emailadres en het lijkt erop dat het enkel naar mijn huidige actief UB account gestuurd is (aangezien ik maar 1 email kreeg en ik denk dat ik een ander email voor ander account gebruikte), dus misschien eerder een exploit op een forumprocedure, bijvoorbeeld de password reset procedure of, als UB ge-target werd, misschien zelfs het duimpkes systeem?
Code: Selecteer alles
Return-Path: <[email protected]>
Received: from mail.medeakultur.com (mail.medeakultur.cz. [90.182.241.210])
by mx.google.com with ESMTP id ei1si16469124wib.17.2012.10.01.03.43.07;
Mon, 01 Oct 2012 03:44:26 -0700 (PDT)
Received-SPF: fail (google.com: domain of [email protected] does not designate 90.182.241.210 as permitted sender) client-ip=90.182.241.210;
Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of [email protected] does not designate 90.182.241.210 as permitted sender) [email protected]
Received: from User ([109.75.164.2]) by mail.medeakultur.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 1 Oct 2012 12:37:31 +0200
From: "ING Belgie"<[email protected]>
Subject: Bevestiging van internetbankieren profiel
Date: Mon, 1 Oct 2012 11:37:29 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: [email protected]
Message-ID: <MEDEA01****@mail.medeakultur.com>
X-OriginalArrivalTime: 01 Oct 2012 10:37:32.0028 (UTC) FILETIME=[C32743C0:01CD9FC0]
X-EsetResult: clean, is OK
X-EsetId: 667C0A23F5EE7E30353E55
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 17:21
door Sub Zero
krisken schreef:Zojuist een tweede spamrun gehad...
Mijn e-mailadres dat ik hier gebruik, heb ik vervangen door
[email protected]
Wanneer heb je je mailadres gewijzigd? Kwestie van een aanknopingspunt te hebben in de logs.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 17:23
door -KoeKe-
Hier ook de mail gekregen (zelfs 2):
Code: Selecteer alles
x-store-info:J++/JTCzmObr++wNraA4Pa4f5Xd6uensydyekesGC2M=
Authentication-Results: hotmail.com; sender-id=fail (sender IP is 74.208.100.120) [email protected]; dkim=none header.d=promo.ing.be; x-hmca=fail
X-SID-PRA: [email protected]
X-SID-Result: Fail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTE7YT0xO0Q9MTtHRD0xO1NDTD0z
X-Message-Info: aKlYzGSc+LngSIEN9nC7GYEXo83lV1uyFcrP/7uXxVA064hT/Ko1kMpNff0RcDwNw3dwkJUIJMi6Dfu2TiFpvXQT7PmZ9ugJakBQO1BEeZja35FHSXv/DR9/80agyzUPQ2nTK88PNE/WNC/c/3rWSQ==
Received: from u16025754.onlinehome-server.com ([74.208.100.120]) by BAY0-MC4-F25.Bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Mon, 1 Oct 2012 04:40:00 -0700
Received: by u16025754.onlinehome-server.com (Postfix, from userid 502)
id B11982A8E3; Mon, 1 Oct 2012 04:23:34 -0700 (PDT)
To: (mijn e-mail adres)
Subject: Bevestiging van internetbankieren profiel
X-PHP-Originating-Script: 10017:mail.php
From: ING Belgie <[email protected]>
Reply-To:
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id: <[email protected]>
Date: Mon, 1 Oct 2012 04:23:34 -0700 (PDT)
Return-Path: [email protected]
X-OriginalArrivalTime: 01 Oct 2012 11:40:00.0184 (UTC) FILETIME=[7D3A7B80:01CD9FC9]
Code: Selecteer alles
x-store-info:4r51+eLowCe79NzwdU2kRyU+pBy2R9QCj0/8P6fDMVv+Nqle9nLOu1MTi8aGv+P6O+NyaOaToykxjS+6wCWykiMbhpnYp9Gig3l7vI8zpXtzPVwyJI1UthGmPfbu9A4Uw1m9kG0YC8w=
Authentication-Results: hotmail.com; sender-id=fail (sender IP is 90.182.241.210) [email protected]; dkim=none header.d=promo.ing.be; x-hmca=fail
X-SID-PRA: [email protected]
X-SID-Result: Fail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 0dnBe9D1A6vO3y50VerJEejny9P9PMrOacnI7gESjBSbA3F581Io07STe20Wr+KT6H7kMOI2csqErM5otUo1SVWPM5U7MqK/lV/Nnq1EDjcpgJDF4cWEgnhLJyWjRIyTQSfQ7MmhXqeOBQArhUgEZA==
Received: from mail.medeakultur.com ([90.182.241.210]) by SNT0-MC3-F19.Snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Mon, 1 Oct 2012 06:37:57 -0700
Received: from User ([109.75.164.2]) by mail.medeakultur.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 1 Oct 2012 12:38:20 +0200
From: "ING Belgie"<[email protected]>
Subject: Bevestiging van internetbankieren profiel
Date: Mon, 1 Oct 2012 11:38:12 +0100
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: [email protected]
Message-ID: <[email protected]>
X-OriginalArrivalTime: 01 Oct 2012 10:38:20.0998 (UTC) FILETIME=[E0577E60:01CD9FC0]
X-EsetResult: clean, is OK
X-EsetId: 667C0A23F5EE7E30353E55
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 17:44
door krisken
Sub Zero schreef:krisken schreef:Zojuist een tweede spamrun gehad...
Mijn e-mailadres dat ik hier gebruik, heb ik vervangen door
[email protected]
Wanneer heb je je mailadres gewijzigd? Kwestie van een aanknopingspunt te hebben in de logs.
gewijzigd op 18 Apr 2009 12:13 AST
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 17:46
door Sub Zero
2009 :o
Zo ver gaan de logs niet terug vrees ik...
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 17:55
door Opus
Ook hier 1 x de mail gehad deze middag om 14.29u
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 18:04
door solid-killer
mail gehad ING : 14:40
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 18:05
door MClaeys
Ik kreeg vandaag ook een mail van ING, ik heb hem alvast doorgemaild naar
[email protected] met de commentaar dat ze 1) dat e-mailadres wat duidelijker mogen vermelden en 2)
[email protected] voldoende zou moeten zijn in plaats van zo een lang adres (schrikt alleen maar mensen af).
Bij mij kwam het toe op mijn e-mailadres dat ik nog maar van in juni of begin augustus in gebruik heb (ben toen overgeschakeld van @live.be naar @outlook.com). Ik ben overgeschakeld op de dag dat men @outlook.com lanceerde, dus dat is nog niet zo lang geleden.
Mail gekregen om 16u09. Ik ben geen klant bij ING dus ik vond het al raar + ik ga altijd zelf naar de website van men bank als ik bankzaken wil doen.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 18:34
door philippe_d
Hier ontvangen om 12.16
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 18:48
door redman
Hier niks ontvangen , ook niet in de spam folder.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 19:03
door mattionline
Idem hier
ING België neemt uw veiligheid op het internet serieus.
Meer informatie is beschikbaar op
www.ing.be (Internet bankieren / Veiligheid)
Yeah right
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 19:26
door didi79
Ook ontvangen, om 13u39
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 19:37
door Loeri
Ook deze spam mail ontvangen op 15u59 vandaag met de mail die gelinkt is aan UB hier.
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 21:02
door jaker
Dus: vandaag ook ontvangen op mijn mailadres dat ik enkel voor fora en dergelijke gebruik, maar op geen enkel mailclient heb geconfigureerd (enkel heel soms eens raadpleeg via web-mail)
Re: Spam op een adres dat alleen HIER gebruikt wordt.
Geplaatst: 01 okt 2012, 22:34
door Sub Zero
'k Ben al een paar uur in de logs aan 't zoeken, maar ik kan niet direct iets vinden wat op systeem-niveau er zou op wijzen dat er dingen niet pluis zijn. 't Moet echt op applicatie-niveau zijn dat er ergens een lekje tussen zit. 'k Kan alleen niet vinden waar.
Als er iemand ideeën heeft: met graagte
